Erstmals Nutzung von Mailchimp untersagt

Ende März hat erstmals eine Datenaufsichtsbehörde den Einsatz des Newsletter-Versand-Programms Mailchimp verboten. Das Bayerische Landesamt für Datenschutzaufsicht untersagt nach der Beschwerde eines Newsletter-Empfängers die Nutzung des Programmes eines US-amerikanischen Dienstleisters. Die Folgen für Unternehmen, die diesen oder einen anderen US-amerikanischen Mailingdienst nutzen, sind tiefgreifend.

Was ist Mailchimp eigentlich?

Mailchimp ist eine weit verbreitete, webbasierte Software-Anwendung für die Erstellung, Verwaltung und den Versand von Newslettern. Da es sich um eine SaaS-Anwendung handelt (SaaS = Software as a Service), werden im versendenden Unternehmen weder Software noch E-Mail-Adressen der Empfänger gespeichert, diese liegen auf den US-amerikanischen Servern von Mailchimp.

Warum kam es zu dem Verbot?

Der Empfänger eines Newsletters von einem Münchner Unternehmen empfand es als datenschutztechnisch fragwürdig, dass die Mail von Mailchimp versendet wurde. Zur Klärung des Sachverhaltes hat er Beschwerde bei der zuständigen Behörde, dem BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) eingelegt und um Klärung gebeten. Obwohl der Absender auf das Schließen von EU-Standardvertragsklauseln berief, darf er Mailchimp künftig nicht mehr einsetzen. Das Unternehmen hätte zusätzlich prüfen müssen, ob Mailchimp im Sinne der EuGH-Entscheidung „Schrems II“ weitere Maßnahmen ergreift, um einen angemessenen Schutz der personenbezogenen Daten zu garantieren (vgl. EuGH, Urteil vom 16.7.2020, Az. C-311/18).

Welche Strafe wurde verhängt?

Da sich das Münchner Unternehmen einsichtig zeigte und versicherte, künftig auf den Einsatz von Mailchimp zu verzichten, kam es weder zu einem Gerichtsverfahren noch wurde ein Bußgeld verhängt.

Was sind die datenschutzrechtlichen Bedenken?

Da die E-Mail-Adressen der Abonnenten von über Mailchimp versendeten Newslettern und Marketing-Kampagnen auf Servern in den USA gespeichert  und somit in einen Drittstaat übertragen werden, wurde dieser Fall untersucht.

Ist Mailchimp nun generell verboten?

Nein, da es zu keinem Gerichtsverfahren gekommen ist, gibt es auch kein richtungsweisendes Urteil. Doch da damit zu rechnen ist, dass weitere Beschwerden eingehen und die Entscheidung des BayLDA, nämlich der vorgeschriebene Wechsel des Mailingsystem-Anbieters, eindeutig ist, wird ein Verzicht empfohlen. Wer noch auf den Einsatz von Mailchimp setzt, kann entweder das Vorgehen beim Datenschutz des Software-Anbieters genau prüfen oder aber ein anderes System in Erwägung ziehen. Da es grundsätzlich sehr schwierig ist, solche Informationen über in den USA sitzende Unternehmen zu bekommen, sollte die Entscheidung zugunsten eines der zahlreichen Produkte aus Europa fallen.

Was sind die Folgen für die Nutzer US-amerikanischer Mailingdienst-Anbieter?

Wer auf ein US-amerikanisches Newsletter-System setzt, sollte folgende Fragestellungen klären:

  • Werden an den Anbieter in den USA nur E-Mail-Adressen oder auch andere personenbezogene Daten wie Name, Adresse oder Geburtsdatum weitergegeben?
  • Gibt es Informationen des Anbieters bezüglich weiterführender Bestrebungen zum Schutz der Daten?
  • Nutzt das Newsletter-Programm Trackingfunktionen?
  • Gibt es Alternativen für das Versenden von Newslettern und Marketing-Kampagnen, die in der EU beheimatet sind?
  • Wie hoch wären die anfallenden Aufwände und Kosten bei einem Anbieterwechsel? (Datentransfer, Schnittstelleneinbau, Mitarbeiterschulung usw.)

Datenschutzrechtlicher Hintergrund

Im oben erwähnte EuGH Urteil aus dem Juli 2020 wurde das sogenannte EU-US-Privacy-Shield für unwirksam erklärt, womit Datenübertragungen in die USA nicht mehr auf diese Rechtsgrundlage gestützt werden können. Seitdem werden von US-Unternehmen Standardvertragsklauseln eingesetzt, die zwar weiterhin wirksam sind, der EuGH weist jedoch darauf hin, dass der US-Dienstleister den Schutz der Daten, besonders vor dem Zugriff von US-Sicherheitsbehörden, sicherstellen muss. Dies stellt die Anwender vor die Schwierigkeit, solche Maßnahmen nachvollziehen zu können. Auch wenn manche US-Unternehmen nun Serverstandorte in Europa anbieten oder auf verschlüsselte Übertragungen setzen, ist das Erhalten dieser Informationen immer mit unverhältnismäßig großem Aufwand verbunden.

Fazit

Auch wenn derzeit noch kein generelles Verbot für den Einsatz von Mailchimp oder andere in den USA beheimatete E-Mail-Marketing Programme gibt, ist das Umstellen auf einen in der EU ansässigen Anbieter langfristig zu empfehlen. Wer erst mit dem E-Mail-Marketing starten möchte, sollte von Anfang an auf ein europäisches System setzen.

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.